F5 ha emitido una advertencia sobre una falla crítica de seguridad en BIG-IP, que permitiría a un atacante acceder a la red y realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-1388 de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en el componente REST de iControl y permite omitir la autenticación en dicho componente.
Un atacante podría realizar ejecución remota de código (RCE) mediante el envío de un paquete en la red y realizar un escalamiento de privilegios, derivando en la posible pérdida de información y control del sistema deshabilitando los servicios de BIG-IP.
La lista completa de los productos afectados se da a continuación:
- Big-IP versiones 16.1.0 a 16.1.2
- Big-IP versiones 15.1.0 a 15.1.5
- Big-IP versiones 14.1.0 a 14.1.4
- Big-IP versiones 13.1.0 a 13.1.4
- Big-IP versiones 12.1.0 a 12.1.6
- Big-IP versiones 11.6.1 a 11.6.5
Recomendamos seguir el siguiente paso para mitigar el riesgo asociado:
- Bloquear el acceso a la interfaz REST de iControl del sistema BIG-IP a través de direcciones IP propias, restringiendo el acceso solo a usuarios y dispositivos de confianza a través de la interfaz de administración, o modificar la configuración httpd de BIG-IP.
Adicionalmente, recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, disponible en el siguiente listado proporcionado por el mismo:
Referencias: